Oslo, Norwegia. Telepon berdering pada jam 4 pagi Thorstein Gimnes Are menjawab bel dini hari dengan rasa takut menembus kantuk. Dan setelah kata-kata pertama dari lawan bicaranya, rasa takut hanya meningkat.
"Sepertinya mereka menyerang kita," kata penelepon spesialis IT
Norsk Hydro , salah satu perusahaan aluminium terbesar di dunia. Beberapa dari 170 pabriknya telah menghentikan jalur produksi. Objek lain beralih dari kontrol komputer ke manual.
Di ruang kontrol pabrik ekstrusi di Norwegia. Hydro sementara menangguhkan produksi di beberapa pabrik di Eropa dan Amerika Serikat setelah serangan itu.
Berita buruk Dan kemudian menjadi lebih buruk.
Peretasan sistem keamanan pada Maret tahun lalu pada akhirnya memengaruhi semua orang di Norsk Hydro: 35 ribu karyawan di 40 negara. File di ribuan server dan komputer pribadi ternyata dikunci. Kerusakan keuangan mencapai $ 71 juta
Semuanya dimulai tiga bulan sebelumnya, ketika salah satu karyawan membuka email yang terinfeksi dari klien tepercaya. Ini memungkinkan peretas untuk menembus infrastruktur TI dan secara diam-diam memperkenalkan virus mereka.
Menutup telepon, Guimnés Are, yang bertanggung jawab atas keamanan informasi di Norsk Hydro, segera memanggil kepala layanan kesiapsiagaan darurat dan melakukan panggilan darurat pagi itu.
”Itu adalah darurat skala besar perusahaan,” kenang Guimnes Are. - Profesional TI telah memutus jaringan dan server untuk menghindari distribusi lebih lanjut. Tetapi kami tidak begitu mengerti apa yang sedang terjadi. "
Segera nama virus ini dikenal: LockerGoga, salah satu varian dari program ransomware. Dia mengenkripsi file di komputer desktop, laptop dan server di seluruh perusahaan dan menampilkan pesan permintaan tebusan.
“Selamat datang! - baca pesannya. - File Anda dienkripsi menggunakan algoritma militer paling kuat. Hanya kami yang memiliki decoder untuk mendekripsi data Anda. "
Dalam pesan itu, perusahaan meminta tebusan dalam bitcoin dan memperingatkan: "Harga akhir tergantung pada seberapa cepat Anda menghubungi kami."
Pada pertemuan darurat, manajemen Norsk Hydro membuat tiga keputusan operasional: jangan membayar uang tebusan, hubungi tim cybersecurity Microsoft untuk membantu memulihkan sistem, dan sepenuhnya terbuka tentang insiden ini.
Solusi ketiga
dipuji oleh para pakar keamanan dari seluruh dunia karena bertentangan dengan praktik yang biasa dilakukan oleh banyak organisasi yang menyembunyikan informasi peretasan.
Pejabat senior melakukan siaran web setiap hari dan menjawab pertanyaan. Para eksekutif memberikan konferensi pers setiap hari di kantor pusat Oslo, memposting berita di Facebook, mengundang wartawan ke fasilitas produksi, dan bahkan meluncurkan situs web perusahaan baru untuk minggu pertama setelah serangan ditemukan.
Ransomware menyerang Norsk Hydro.
"Transparansi adalah dasar dari budaya Hydro Norsk," kata Halvor Molland, wakil presiden senior hubungan media. Dengan secara jujur dan segera menerbitkan informasi tentang apa yang terjadi, perusahaan berusaha, khususnya, untuk melanggar taktik bayangan para penjahat cyber dan, mungkin, untuk mencegah ancaman serupa.
“Kami ingin membantu orang lain belajar dari pengalaman kami,” kata Molland. "Jadi orang akan dapat lebih siap untuk situasi seperti itu dan tidak melewati apa yang harus kita lalui."
Pada jam-jam awal insiden, Norsk Hydro mencari bantuan dari
Tim Deteksi dan Respons Microsoft (DART), yang melakukan perjalanan ke tempat kejadian untuk mendukung perusahaan yang diserang dan melakukan penyelidikan jarak jauh.
"Kasus ini telah ditetapkan tingkat keseriusan maksimum," kata Jim Meller, anggota DART dan spesialis serangan dunia maya. Meller dikirim ke Hongaria, di sebuah kota kecil dekat Budapest, di mana salah satu pabrik aluminium terbesar Norsk Hydro berada. Produksi di sana dibiarkan tanpa akses ke layanan jaringan.
Salah satu dari banyak konferensi pers Hydro yang diadakan selama serangan itu.
Meller menghabiskan tiga minggu di Hongaria, menciptakan tim insinyur dan arsitek daerah. Menurutnya, tugas awal tim adalah membantu perusahaan memulihkan dan melanjutkan operasi dan layanan bisnis. Anggota DART lain terbang ke Oslo. "Di bawah kepemimpinan kami, Norsk Hydro mampu menghilangkan celah yang dengannya penyerang dapat melancarkan serangan," kata Meller.
Mereka mempelajari virus ransomware LockerGoga, yang juga
menyerang perusahaan rekayasa dan konsultasi Altran Technologies di Prancis dan dua perusahaan industri AS - Hexion di Ohio dan Momentive di New York.
Menurut Gimnes Are, di Oslo, sekelompok penyelidik forensik penuh waktu dan freelance menemukan bahwa pada Desember 2018, peretas menggunakan satu file yang dilampirkan sebagai senjata dunia maya yang dikirim oleh karyawan pelanggan yang dianggap dapat diandalkan oleh karyawan Norsk Hydro selama korespondensi email reguler.
"Mereka termasuk instruksi untuk menginstal Trojan di komputer karyawan Hydro dalam lampiran ini," kata Guimnes Are. - Antivirus kami mendeteksi program trojan ini beberapa hari kemudian. Tapi sudah terlambat. Pada saat itu, virus sudah tertanam dalam sistem. ”
Meller mengatakan bahwa pada awalnya virus tersebut mengkompromikan pengguna biasa dari jaringan komputer Norsk Hydro, dan kemudian mengambil mandat administrator, yang memungkinkan peretas untuk mengelola seluruh infrastruktur TI.
"Ketika para penyerang menguasai lingkungan, mereka memutuskan untuk mendistribusikan ransomware melalui distribusi manual dari pengontrol domain Norsk Hydro," kata Meller.
"Ini adalah contoh lain dari strategi baru-baru ini di mana kelompok penyerang menggunakan ancaman terus-menerus yang terus-menerus (
Advanced Persistent Threat, APT) untuk memperkenalkan malware lain dengan harapan monetisasi lebih cepat dengan biaya lebih rendah," kata Meller.
Namun, Norsk Hydro tidak bermaksud membayar bitcoin tunggal untuk peretas atau menegosiasikan pemulihan file yang terkunci. Sebagai gantinya, perusahaan memutuskan untuk memulihkan datanya menggunakan server cadangan yang andal.
"Apa yang akan kamu dapatkan jika kamu membayar uang tebusan dalam situasi seperti itu?" Gimnes bertanya. - Mungkin Anda akan mengembalikan data terenkripsi jika penyerang memberi Anda kunci. Tetapi pembelian kembali tidak akan membantu Anda memulihkan infrastruktur perusahaan: semua server, semua komputer, semua jaringan. "
“Tebusan itu tidak akan membantumu keluar dari situasi ini. Anda perlu membangun kembali infrastruktur Anda untuk memastikan bahwa penyerang tidak tinggal di dalamnya, "tambahnya.
Eric Derr adalah manajer umum
Pusat Respons Keamanan Microsoft . Pusat ini melindungi pelanggan dari kerusakan karena kerentanan dalam sistem keamanan produk dan layanan Microsoft, dan juga dengan cepat mencerminkan serangan terhadap Microsoft Cloud. Derr sangat mendorong organisasi-organisasi serangan cyber untuk bersikap seterbuka mungkin mengenai insiden.
"Norsk Hydro telah memberikan contoh bagi semua orang dalam menanggapi insiden," kata Derr. - Tidak membayar tebusan dan menggunakan DART untuk mencari tahu situasi untuk mengusir penyusup adalah solusi yang sangat baik. Berbagi pengetahuan yang diperoleh dengan dunia sangat berharga. Ketika perusahaan melakukan ini, itu membuat kita semua lebih baik dan membuat penyerang bekerja lebih keras. "
“Tentu saja, beberapa perusahaan yang menghadapi serangan ransomware mungkin tergoda untuk membayar penyerang untuk mengembalikan data yang dicuri. Tetapi membayar tebusan kepada peretas tidak menjamin bahwa perusahaan akan dapat memulihkan yang hilang, ”kata Ann Johnson, wakil presiden perusahaan Microsoft untuk solusi keamanan siber, yang timnya mengawasi DART.
"Ada cara yang lebih cerdas - ikuti rencana Norsk Hydro," kata Johnson. - Data Anda adalah aset strategis untuk Anda dan untuk penjahat cyber. Itu sebabnya peretas ingin mendapatkan data Anda. Itu sebabnya data Anda harus dilindungi dan disimpan sebagai cadangan. "
"Pada saat yang sama, perusahaan harus berinvestasi dalam cybersecurity," ia menekankan.
"Di Norsk Hydro, departemen TI bekerja untuk meningkatkan kesadaran keamanan di antara karyawannya," kata Molland, wakil presiden hubungan media. Ini termasuk mengirim email pengujian kepada pekerja untuk membantu mereka mengenali
trik phishing umum , seperti halaman login palsu dan lampiran berbahaya.
"Jika sebuah perusahaan tidak cukup memperhatikan cybersecurity," Johnson memperingatkan, "maka para penyerang akan menjadi" pelanggan tetap. "
"Kemungkinan besar, Anda melihat tanda-tanda di kafe-kafe jalanan yang bertuliskan" Jangan memberi makan burung-burung. " Jika burung diberi makan, mereka akan kembali ke tempat mereka merasa mudah mendapatkan makanan. Konsep yang sama berlaku untuk penjahat cyber, kata Johnson. "Jika mereka tahu bahwa kamu memiliki perlindungan yang lemah, mereka akan menggunakan kelemahan ini lagi dan lagi."
“Pertahanan terbaik adalah kombinasi yang tepat dari tindakan, proses, dan teknologi manusia. Kami merekomendasikan penerapan otentikasi multi-faktor, proses pembaruan yang kuat, dan cadangan data, ”tambahnya.
Karyawan di pabrik Norsk Hydro di Norwegia bekerja dengan catatan kertas untuk secara manual mengeksekusi pesanan pelanggan selama serangan cyber.
Maret lalu, di Hongaria dan Norwegia, anggota DART membantu Norsk Hydro mengembangkan prosedur yang aman untuk memulihkan server dengan pengaturan keamanan yang ditingkatkan. Menurut Meller, mereka juga membiasakan perusahaan dengan ancaman yang ada dan perilaku penyerang yang dikenal untuk membantu mengurangi risiko serangan di masa depan.
Di Norsk Hydro, pekerjaan internal setelah insiden itu dilakukan di beberapa bidang. Perusahaan beralih ke metode lama untuk melanjutkan produksi penuh dan memulihkan operasi bisnis. Selain itu, mereka bekerja untuk memastikan keselamatan karyawan dan lingkungan.
“Kami mengendarai alat berat. Jika kita kehilangan kendali, itu akan membahayakan keselamatan orang dan dapat menyebabkan insiden serius, ”kata Molland, wakil presiden hubungan media. - Keamanan selalu menjadi hal terpenting bagi kami. Di tempat kedua adalah kepedulian terhadap lingkungan dan pencegahan emisi yang tidak terkendali ke atmosfer, tanah dan air karena mesin berhenti tiba-tiba. ”
Para eksekutif itu menulis peringatan tertulis tentang serangan dunia maya, difoto di smartphone dan mengirimnya ke manajer pabrik dan kantor Norsk Hydro di seluruh dunia. Staf lapangan mencetak iklan kertas di toko-toko cetak lokal dan menggantungnya di teras, tangga dan lift sehingga staf dapat membacanya ketika mereka tiba di tempat kerja.
“Tolong jangan menghubungkan perangkat apa pun ke jaringan Hydro. Jangan nyalakan perangkat apa pun yang terhubung ke jaringan Hydro. Harap putuskan sambungan perangkat dari jaringan Hydro, "baca peringatan dengan tanda tangan sederhana:" Layanan Keamanan ".
Pekerja pabrik hidro di Portland secara manual mengoperasikan peralatan untuk memenuhi pesanan pelanggan selama fase awal serangan dunia maya.
Semua personel di hari-hari pertama setelah deteksi serangan bekerja pada catatan kertas. Beberapa pabrik beralih ke kontrol manual untuk memenuhi pesanan produksi. Pensiunan karyawan yang akrab dengan sistem kertas lama secara sukarela kembali ke pabrik mereka untuk mendukung produksi.
“Cara kami bersatu untuk mengatasi situasi dan kembali ke produksi adalah pelatihan membangun tim yang ekstrem,” kata Molland.
"Perusahaan kami memiliki metodologi kesiapsiagaan darurat terorganisir yang mendefinisikan tindakan di tingkat perusahaan, di sektor bisnis dan di tingkat pabrik," tambahnya. "Itu bekerja untuk keuntungan kita." Ketika kami dihantam, kami dapat secara konstruktif dan teratur mengatasi situasi. ”
"Dengan kata lain, pencegahan itu penting, tetapi memblokir semua penyerang tidak boleh menjadi satu-satunya prioritas keamanan perusahaan," kata Joe De Wliger, Direktur IT di Norsk Hydro.
"Jika peretas ingin masuk ke dalam, mereka akan melakukannya," kata De Wliger. "Kami sekarang memiliki sistem respons insiden yang ditingkatkan, dan jika ini terjadi lagi, kami akan jauh lebih siap untuk membatasi kerusakan dari waktu ke waktu dan wilayah."
Norsk Hydro melaporkan kejadian itu ke Badan Investigasi Kriminal Nasional Norwegia (Kripos). "Investigasi sedang berlangsung," kata Molland.